Finale im Hacker-Prozess: Wer steckt hinter den Angriffen?

Seit Monaten sitzt der Mann bereits auf der Anklagebank des nüchternen Stuttgarter Gerichtssaals. Schweigend verfolgt er, wie die Kammer über Cybererpressung und Lösegeld in Millionenhöhe debattiert. Die Staatsanwaltschaft hält ihn für ein zentrales Mitglied der berüchtigten Hackergruppe „GandCrab“, die Firmen und Einrichtungen in mehreren Bundesländern lahmlegte – aus sicherer Ferne und oft erfolgreich. Sie fordert eine Gesamtfreiheitsstrafe von 7,5 Jahren. Nun kommt die Verteidigung zu Wort.

Was ist Ransomware und wie funktioniert ein solcher Angriff?

Bei Ransomware-Angriffen verschlüsseln Cyberkriminelle laut dem Bundesamt für Sicherheit in der Informationstechnik die Daten auf Servern und Computern ihrer Opfer mit hochkomplexer Schadsoftware. Eine Entschlüsselung wird nur gegen Zahlung eines Lösegelds (englisch: ransom) in Aussicht gestellt – meist in schwer nachverfolgbarem Bitcoin. Häufig drohen die Täter zusätzlich mit der Veröffentlichung sensibler gestohlener Daten auf sogenannten Leak-Sites im Darknet, um Druck zu erhöhen.

Was wird dem Mann in Stuttgart genau vorgeworfen?

Der Angeklagte muss sich wegen gewerbsmäßiger Cybererpressung verantworten. Als mutmaßliches Gruppenmitglied soll er die Netzwerke von 22 deutschen Unternehmen und öffentlichen Einrichtungen lahmgelegt haben – darunter Krankenhäuser, Kliniken und die Württembergischen Staatstheater in Stuttgart. Er wurde im Oktober 2024 in der Slowakei verhaftet und ausgeliefert.

Wer sind die bekannten Verdächtigen?

Ermittler lokalisieren die Täterkerne oft in Osteuropa und Asien, dort ist die Strafverfolgung schwerer. Im Stuttgarter Fall jagen Behörden zwei weitere Hauptverdächtige mit russischer Staatsangehörigkeit per internationalem Haftbefehl: den mutmaßlichen Kopf der Operation und den Schadsoftware-Entwickler. Solche Gruppen operieren transnational und nutzen VPNs sowie Proxys zur Anonymisierung.

Wer steckt hinter „GandCrab“?

„GandCrab“ zählt zu den erfolgreichsten Ransomware-Familien seit 2018: Sie hat weltweit Millionen Daten verschlüsselt und Lösegeld in Kryptowährungen gefordert – die Entwickler prahlten öffentlich mit über zwei Milliarden US-Dollar Einnahmen. Berüchtigt war das Abo-Modell (Ransomware-as-a-Service): Die Gruppe vermietete die Software wie ein Streamingdienst an Kleinkriminelle in Hacker-Foren. Nachfolger wie „REvil“ übernahmen das Geschäft und verursachten weitere Milliardenschäden, nachdem sich die Gruppe aufgelöst hatte.

Welchen Schaden haben die Angriffe verursacht?

Allein bei den 22 in Stuttgart angeklagten Fällen beläuft sich der wirtschaftliche Schaden auf rund 2,3 Millionen Euro – durch Ausfälle, Sanierungen und Produktionsstopps. Deutschlandweit schreiben Ermittler „GandCrab“ und „REvil“ über 80 Fälle mit einem Gesamtschaden von knapp 33 Millionen Euro zu. Globale Schätzungen des Bundeskriminalamts belaufen sich auf Milliarden.

Wird Lösegeld gezahlt?

Offizielle Statistiken fehlen am Cybercrime-Zentrum Baden-Württemberg bei der Karlsruher Generalstaatsanwaltschaft, doch eine bundesweite BKA-Erhebung zeigt: Rund 90 Prozent der Geschädigten zahlten nichts. Eine Bitkom-Studie vom Vorjahr nennt 70 Prozent. Im Stuttgarter Fall sollen 6 der 22 Betriebe gezahlt haben, um schnell wieder online zu gehen.

Um welche Summen geht es?

Bei über einem Drittel der Zahlungen lagen die Beträge laut BKA zwischen 100.000 und 500.000 Euro. In 16 Prozent der Fälle forderten Hacker noch höhere Summen – teils über eine Million Euro pro Opfer.

Wie groß ist die Bedrohung durch Ransomware in Deutschland?

Täglich melden Behörden zwei bis drei schwere Ransomware-Angriffe; Deutschland rangiert international laut BKA auf Platz vier der betroffenen Länder. Die Dunkelziffer sei enorm, da viele Fälle unentdeckt bleiben.

Warum melden Unternehmen Angriffe nicht?

Die betroffenen Unternehmen hätten zum Teil Sorge, einen solchen Angriff öffentlich zu machen und somit auch vor der Konkurrenz offenzulegen, heißt es im Cybercrime-Zentrum. Außerdem wollten sie schnell weiterarbeiten und fürchteten, dass Ermittlungen der Polizei dies eher verzögerten.

Sollten Opfer zahlen?

Das sei zwar eine unternehmerische Entscheidung, meint der Verband Unternehmer Baden-Württemberg. Zahlungen können aber strafbar sein (Unterstützung krimineller Vereinigungen) und sie laden zu Folgeattacken ein – Unternehmen werden so als „leichte Beute“ markiert. Sie sollten sich stattdessen durch regelmäßige Software-Updates, Mitarbeiterschulungen gegen Phishing, Backups offline und Notfallpläne schützen. Beratung bieten die Zentrale Ansprechstelle Cybercrime (LKA), die Cybersicherheitsagentur Baden-Württemberg oder das BSI.